Ubuntu 18.04の初期セキュアサーバー構成

• 前書き
• 前提条件
• ユーザーを作成および変更する
• SSHキーを生成して構成する
• 基本的なファイアウォールを設定する

前書き

このチュートリアルでは、Ubuntu 18.04を実行する新しいVultr VC2仮想マシンで基本的なセキュリティレベルを構成する方法を学習します。

前提条件

• Vultrアカウント、ここで作成できます
• 新しいUbuntu 18.04 Vultr VM

ユーザーを作成および変更する

まず、VMへのログインに使用する新しいユーザーを作成します。

adduser porthorian

注： 推測が難しい一意のユーザー名を使用することをお勧めします。ほとんどのボットは、試してみデフォルト設定されますroot、admin、moderator、および同様。

ここでパスワードの入力を求められます。強く、あなたが強力な英数字のパスワードを使用することをお勧めします。その後、画面のプロンプトに従い、情報が正しいかどうかを尋ねられたら、を押してくださいY。

新しいユーザーを追加したら、そのユーザーにsudo権限を付与して、rootユーザーに代わってユーザーからコマンドを実行できるようにする必要があります。

usermod -aG sudo porthorian

ユーザーにsudo権限を付与したら、新しいユーザーに切り替えます。

su - porthorian

SSHキーを生成して構成する

SSHキーを生成するには、このドキュメントに従ってください。

新しいSSHキーを生成したら、公開キーをコピーします。次のようになります。

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

ユーザーディレクトリを設定する

ユーザーのホームディレクトリに移動していない場合は、そこに移動します。

cd $HOME

$HOMEユーザーのホームディレクトリの環境変数です。これは、新しいユーザーの作成時に自動的に設定されます。

ホームディレクトリにいる間、その中に別のディレクトリを配置します。このディレクトリは、rootとディレクトリを所有するユーザーを除いて、マシン上の他のユーザーから隠されます。次のコマンドを使用して、新しいディレクトリを作成し、その権限を制限します。

mkdir ~/.ssh
chmod 700 ~/.ssh

今、私たちは、ファイルを開くしようとしている.sshと呼ばれますauthorized_keys。これは、OpenSSHが検索するユニバーサルファイルです。/etc/ssh/sshd_config必要に応じて、OpenSSH設定内でこの名前を変更できます。

お気に入りのエディターを使用してファイルを作成します。このチュートリアルではnanoを使用します。

nano ~/.ssh/authorized_keys

sshキーをコピーして、authorized_keys開いたファイルに貼り付けます。公開鍵が入ったら、CTRL+ を押してファイルを保存できますO。

適切なファイルパスが表示されることを確認します。

/home/porthorian/.ssh/authorized_keys

正しいファイルパスの場合は、を押してくださいENTER。そうでない場合は、上記の例と一致するように必要な変更を加えてください。次に、CTRL+でファイルを終了しますX。

次に、ファイルへのアクセスを制限します。

chmod 600 ~/.ssh/authorized_keys

作成したユーザーを終了し、rootユーザーに戻ります。

exit

パスワード認証を無効にする

サーバーへのパスワード認証を無効にできるようになりました。これにより、ログインにsshキーが必要になります。パスワード認証を無効にし、公開鍵が正しくインストールされていない場合、サーバーからロックアウトされることに注意することが重要です。rootユーザーからログアウトする前に、まずキーをテストすることをお勧めします。

現在rootユーザーにログインしているため、次のように編集しsshd_configます。

nano /etc/ssh/sshd_config

OpenSSHが正しく構成されていることを確認するために、3つの値を検索します。

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

CTRL+ を押すと、これらの値を見つけることができますW。

値は次のように設定する必要があります。

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

値がコメント化されている場合#は、行の先頭にあるを削除し、これらの変数の値が上記のとおりであることを確認してください。あなたはそれらの変数を変更したら、保存して、エディタを終了CTRL+ O、ENTERついにおよびCTRL+ X。

sshd次のコマンドでリロードします。

systemctl reload sshd

ログインをテストできます。ルートセッションからまだログアウトしていないことを確認し、新しいsshウィンドウを開いて、接続にリンクされているsshキーで接続します。

PuTTYでは、これはConnection-> SSH->の下にありAuthます。

認証用の秘密鍵を参照して見つけます。これは、ssh鍵の作成時に保存しておく必要があるためです。

認証として秘密鍵を使用してサーバーに接続します。Vultr VC2仮想マシンにログインします。

注： sshキーの生成中にパスフレーズを追加した場合は、パスフレーズの入力を求められます。これは、仮想マシン上の実際のユーザーのパスワードとは完全に異なります。

基本的なファイアウォールを設定する

UFWを構成する

まず、UFWがまだ仮想マシン上にない場合は、UFWのインストールから始めます。確認する良い方法は、次のコマンドを使用することです：

sudo ufw status

UFWがインストールされている場合は、が出力されますStatus:inactive。インストールされていない場合は、インストールするように指示されます。

次のコマンドでインストールできます。

sudo apt-get install ufw -y

次に22、ファイアウォールでSSHポートを許可します。

sudo ufw allow 22

または、OpenSSHを許可することもできます。

sudo ufw allow OpenSSH

上記のコマンドのいずれかが機能します。

ファイアウォールを通過するポートを許可したので、UFWを有効にできます。

sudo ufw enable

この操作を実行するかどうかを尋ねられます。y続いて入力ENTERすると、ファイアウォールが有効になります。

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

注： OpenSSHまたはポート22を許可しなかった場合は、仮想マシンからロックアウトされます。UFWを有効にする前に、これらのいずれかが許可されていることを確認してください。

ファイアウォールを有効にしても、インスタンスに接続したままになります。以前と同じコマンドでファイアウォールを再確認します。

sudo ufw status

次のような出力が表示されます。

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Vultrファイアウォールの構成

サーバーをさらに保護するために、Vultrファイアウォールを使用します。アカウントにログインします。ログインすると、画面の上部にあるファイアウォールタブに移動します。

次に、新しいファイアウォールグループを追加します。これにより、UFWファイアウォールに到達できるポートを指定できるようになり、2層のセキュリティが提供されます。

Vultrは、[説明]フィールドを使用して、ファイアウォールの名前を尋ねます。今後の管理を容易にするために、このファイアウォールグループの下のサーバーが何を行うかを必ず説明してください。このチュートリアルのために、名前を付けますtest。必要に応じて、後でいつでも説明を変更できます。

最初に、IPアドレスを取得する必要があります。これを直接行う理由は、IPアドレスが静的ではなく、常に変化している場合は、単にVultrアカウントにログインしてIPアドレスを変更することができるためです。

これが、UFWファイアウォールでIPアドレスを必要としなかった理由でもあります。さらに、仮想マシンのファイアウォールの使用を制限して他のすべてのポートを除外し、Vultrファイアウォールで処理できるようにします。これにより、インスタンスの全体的なトラフィックフィルタリングの負担が制限されます。

Vultrのネットワーク鏡を使用して、IPアドレスを見つけます。

IPアドレスを取得したので、新しく作成したファイアウォールにIPV4ルールを追加します。

IPアドレスを入力したら、+記号をクリックしてIPアドレスをファイアウォールに追加します。

ファイアウォールグループは次のようになります。

ファイアウォールグループにIPが適切にバインドされたので、Vultrインスタンスをリンクする必要があります。左側には、「リンクされたインスタンス」というタブがあります。

ページにアクセスすると、サーバーインスタンスのリストを含むドロップダウンが表示されます。

ドロップダウンをクリックして、インスタンスを選択します。次に、インスタンスをファイアウォールグループに追加する準備ができたら、+記号をクリックします。

おめでとうございます。VultrVC2仮想マシンのセキュリティ保護に成功しました。これは、誰かがインスタンスをブルートフォースにしようとする心配をせずに、非常に基本的なセキュリティレイヤーの優れた基盤を提供します。